VOZ logo
18852

La ironía de exigir seguridad y también una puerta trasera

2025-06-06 Sin comentarios Operadores, Seguridad
Facebook Twitter Instagram Mail

Hoy traigo a debate una opinión que llevo algún tiempo en la cabeza, no es algo fácil ni claro, pero…

Si eres el responsable de la información de una empresa, da igual que sea grande o pequeña, si guardas las contraseñas sin cifrar y alguien se entera, te puede caer una multa grande. Las contraseñas deben estar cifradas o almacenar, en su lugar, un código Hash de dicha contraseña. Si quieres almacenar datos privados de tus clientes, éstos deben estar a buen recaudo: disco duro cifrado, protegido con contraseña, cifrar todo lo que se pueda, etc. Máxima protección en el almacenaje.

Si quieres solicitar datos a clientes o quieres enviar o recibir datos privados de clientes, éstos deben hacerse mediante protocolos seguros, cifrados a prueba de «escuchas» o sistemas «MITM» que puedan capturar la información.

Si quieres sacarte algún certificado tipo ISO27001, ENS, NIS2 o similar, la seguridad es prioritaria: todo debe ir cifrado, todo bien guardado y pobre de ti si te entran y extraen los datos, porque te caerá una multa alucinante.

El Esquema Nacional de Seguridad (ENS) establece como requisito fundamental la protección de la confidencialidad de las comunicaciones y datos mediante el uso de cifrado robusto. Se recomienda el uso de protocolos como HTTPS y SSL/TLS para asegurar que los datos intercambiados estén protegidos contra interceptaciones no autorizadas. [https://www.aesseguridad.es/news/91/04_ENS_Cifrado.pdf]

Irónicamente, si hiciéramos caso a todo lo que se exige desde el punto de vista de la seguridad de la información considerando que una llamada telefónica es «información altamente sensible» y cifrásemos todo lo que enviamos o recibimos y todo lo que almacenamos para evitar que alguien no autorizado pueda acceder, estaríamos legalmente cubiertos ¿verdad?

La ironía de la seguridad en Europa

Si creara un sistema de mensajería con un sistema cifrado seguro que nadie excepto el remitente y el destinatario pudieran saber qué se ha dicho (lo que se supone que hace los sistemas de mensajería actuales que utilizan el cifrado E2EE end-to-end encryption-) , que no guardara los datos con el objeto de garantizar la seguridad, o si creara y gestionara un sistema VoIP desde un teléfono IP a otro teléfono IP, totalmente cifrado, con un algoritmo de cifrado similar y muy fuerte que evitase completamente que alguien pudiera escuchar las conversaciones ajenas (ni siquiera los servidores por los que pasan las conversaciones), entonces tendríamos un gran problema: no podríamos colaborar con la policía si un juez decidiera que hay que intervenir el teléfono o escuchar una llamada, o leer una conversación de este sistema de mensajería.

Entonces ¿en qué quedamos? ¿se puede crear un sistema realmente seguro? ¿o es ilegal porque no puedes garantizar la colaboración con la policía y demás cuerpos de seguridad? ¿o no es posible crearlo en Europa? Como europeo, no me puedes exigir seguridad y por otro lado decirme que tiene que ser intervenible

Todo operador de telefonía está obligado a colaborar con las fuerzas y cuerpos de seguridad del estado, así como si un juez solicita intervenir un teléfono, debe poder hacerlo con la infraestructura que tenga este operador. Actualmente en la red de telefonía, «gestionada» por los grandes como Movistar, Orange-MasMovil y Vodafone, su infraestructura ya permite de facto esta «intervención legal», por lo que si la llamada viaja por la red de telefonía, va sin cifrar, te guste o no.

Un ejemplo real

Hace unos años vino un cliente que se dedicaba a realizar llamadas con información muy confidencial (números de tarjetas de crédito, saldos, cobros, etc.) y necesitaba realizar llamadas telefónicas a sus clientes por lo que exigía una conexión desde su centralita mediante VPN, SIP con TLS y SRTP para evitar que alguien interceptara sus conversaciones y una garantía legal de que toda la comunicación era completamente cifrada.

Hasta cierto punto puedes darle lo que te pide, pero en cuanto la llamada sale de tus sistemas a la red telefónica (la PSTN) a través de un operador como Movistar, Orange o Vodafone, la llamada será tan transparente y vulnerable como cualquier otra. Quizá puedas cifrar la conexión con algún operador y aún así, la infraestructura de los operadores no está pensada para ir cifrada, por lo que al final todo viajará «en plano».

Es triste, pero es así.

Ejemplo de códec hardware (web)

En los entornos militares, utilizan sistemas propios y físicos para cifrar cualquier conversación entre dos teléfonos, una especie de «códec hardware» que deben tenerlo ambos extremos, uno codifica y el otro decodifica, pero este «códec hardware» es inútil en caso de querer hacer una llamada a un teléfono normal y corriente que no tenga en su extremo ese otro «códec hardware» (tiene un nombre, pero por seguridad, prefiero llamarlo así).

En otros entornos privados, (entre los teléfonos y la centralita) también se cifran con algoritmos básicos como SRTP y poco más, de manera que si algún experto necesita escuchar una conversación, tampoco se le puede poner muchos impedimentos. Quizá con eso sería suficiente… quién sabe, pero me huelo (visto lo fácil que es conseguir filtrar una grabación de un juzgado) que lo querrán sencillo, en mp3 y en un pendrive con FAT32.

¿Y si mi sistema es totalmente cifrado E2EE para dar seguridad TOP a mis clientes y recibo una petición de la policía?

Básicamente es el dicho «el que hace la ley, hace la trampa«: Todo debe ser ultra seguro y pobre de ti si un hacker te entra y vende al mejor postor tus grabaciones, listados de clientes, llamadas, etc… la multa va a ser monumental… y por otro lado, si haces eso, estás obligado a tener una «puerta trasera?» para permitir la intervención judicial y colaborar con los cuerpos de seguridad.

¿Hasta qué punto es legal montar un sistema de VoIP con SRTP y TLS (cifrado) si luego puede llegarme un requerimiento para escuchar una conversación entre dos usuarios de mi red?

Al final, son las empresas de fuera: Whatsapp, Telegram, etc… las que cifran y dan seguridad y, si llega un requerimiento judicial, con decir que son empresas americanas, se libran de todo estos follones, pero ¿y los que somos europeos? A decir verdad, en los EEUU además de U.K, Australia, Canada, New Zealand, India y Japan también están obligados a cifrar toda comunicación y a instalar «backdoors» en sus software para que puedan entrar la CIA, el MI6, los पुलिस अधिकारी y la 何でも代理.

La seguridad es importante para evitar ataques de extraños, pero si obligan a que extraños puedan entrar y acceder a tu infraestructura y hacer lo que quieran, entonces no hay seguridad que proteja tus datos.

im mensajeria operador Seguridad VoIP
InstantByte Logo
Anterior artículoQué es Wifi 7 y por qué el presente es inalámbrico

Debate en este artículo